Verein präsentiert auf CeBIT Programm zur Unterstützung von Anbietern und Anwendern in Recht- und Compliance-Fragen

Köln, 02.03.2010 – Der Verband der Cloud Computing-Industrie in Deutschland, EuroCloud Deutschland_eco, erarbeitet Richtlinien für die rechtssichere Anwendung von Cloud Services. Anwender und Anbieter von Software as a Service und Cloud Computing erhalten zukünftig Unterstützung bei der Erfüllung der gesetzlichen Bestimmungen in Fragen von Datenschutz und Compliance.

„Rechtssichere Gestaltung von Software as a Service und Cloud Computing ist kein Ding der Unmöglichkeit“, sagte Bernd Becker, Vorstandsvorsitzender von EuroCloud Deutschland_eco und Vice President von EuroCloud Europe am heutigen Dienstag bei der Pressekonferenz des Vereins auf der CeBIT.

„EuroCloud Deutschland_eco kümmert sich in enger Kooperation mit den europäischen Partnern darum, die gesetzlichen Regelungen für alle Beteiligten handhabbar zu machen.“ Andreas Weiss, Direktor EuroCloud Deutschland_eco, ergänzte: „Diejenigen Dienstleister, deren Lösungen dem berechtigten Compliance-Anspruch der Kunden genügen, werden sich eindeutig Wettbewerbsvorteile verschaffen.“

Neben einer sauberen Vertragsgestaltung, welche die Anforderungen des Bundesdatenschutzgesetzes (§ 11 Abs. 2 Satz 2 Nr. 1 bis 10 BDSG) berücksichtigt, wird es vor allem erforderlich sein, Klärung in Bezug auf die drei Hauptaspekte zu erreichen:

• Standardisierung und gegebenenfalls Zertifizierung der zu treffenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten beim Auftragsdatenverarbeiter,
• effektive Mechanismen zur Wahrung der Kontroll- und Überwachungspflicht des Kunden, unter Umständen unter Einschaltung von darauf spezialisierten Dienstleistern, sowie
• rechtskonforme Einschaltung der für SaaS- und Cloud-Dienstleistungen charakteristischen Subunternehmer, insbesondere die Sicherstellung eines angemessenen Datenschutzniveaus bei sämtlichen an der Datenverarbeitung beteiligten Stellen außerhalb der EU.

Insbesondere zu diesen Themen wird EuroCloud Deutschland_eco in Abstimmung mit den Datenschutzbehörden rechtssichere und belastbare Lösungen erarbeiten. Mitte April wird EuroCloud Deutschland_eco zu einem offenen Workshop zu diesen Themen einladen.

EuroCloud Deutschland_eco e.V. und eco – Verband der deutschen Internetwirtschaft e.V. präsentieren sich vom 2. bis 6. März auf der CeBIT in der Webciety, Halle 6, Stand H02. Weitere Informationen unter www.eurocloud.de.

Hintergrundinformation

Zentrales Thema beim Einsatz von Cloud Service ist die Frage, wie die Vorgaben des Datenschutzrechts umgesetzt werden können.

Da im Rahmen von SaaS-Dienstleistungen regelmäßig auch personenbezogene Daten des Kunden verarbeitet werden, liegt eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vor. Seit der zum 1. September 2009 in Kraft getretenen Novellierung des Bundesdatenschutzgesetzes gelten hierfür besonders hohe Anforderungen. Neben der Selbstverständlichkeit, Gegenstand und Dauer des Auftrages festzulegen (§ 11 Abs. 2 Satz 2 Nr. 1 BDSG), muss insbesondere detailliert vereinbart werden,

• welche technischen und organisatorischen Maßnahmen der Dienstleister zu treffen hat, um die Sicherheit der Daten zu gewähren,
• welche Berechtigungen der Dienstleister zur Begründung von Unterauftragsverhältnissen hat,
• die Kontrollrechte des Kunden und entsprechende Duldungs- und Mitwirkungspflichten sowie
• der Umfang der Weisungsbefugnisse des Kunden.

Neben diesen Anforderungen an die Vertragsgestaltung hat der Kunde den Dienstleister regelmäßig zu kontrollieren. Dies gilt auch für sämtliche vom Dienstleister eingeschalteten Subunternehmer – unabhängig davon, wo diese die Daten verarbeiten. Schließlich gelten zusätzliche Anforderungen, sofern die Daten außerhalb der EU verarbeitet werden. In diesem Fall ist sicherzustellen, dass beim Empfänger der Daten ein angemessenes Datenschutzniveau herrscht.

Zusätzlich können sich je nach Fallgestaltung auch Besonderheiten ergeben aus Aufsichtsrecht (zum Beispiel, soweit Banken beteiligt sind) oder Steuerrecht, sofern steuerrechtliche Daten betroffen sind.